yoldash.net

Jakarta, Indonesia --

Lembaga Studi dan Advokasi Masyarakat (ELSAM) mengungkap kasus kebocoran data pemilu sudah terjadi sejak lama. Simak apa yang mesti dilakukan pengelola data.

Jelang hari pertama kampanye Pilpres 2024, Senin (27/11), data pemilih yang jumlahnya mirip Daftar Pemilih Tetap (DPT) yang bisa diakses KPU dan Parpol diduga bocor di forum peretasan BreachForums.

Pengunggahnya adalah akun anonim bernama Jimbo. Sebanyak 200 jutaan data yang dijual US$74 ribu atau sekitar Rp1,14 miliar ini memuat data NIK, NKK, Nomor KTP, Passport, nama, tempat pemungutan suara, status difabel, jenis kelamin, tanggal dan tempat lahir, status perkawinan, hingga alamat.

Lihat Juga : KPU Gaet BSSN Telusuri Dugaan Kebocoran Data, Pakar Siber Buka Suara

Investigasi sudah dilakukan oleh Badan Siber dan Sandi Negara (BSSN), Cyber Crime Polri, Kominfo, dan KPU. Sejauh ini, tak ada hasil yang diungkap ke publik.

Direktur Eksekutif ELSAM Wahyudi Djafar menyebut dugaan kebocoran data ini bukan insiden keamanan siber pertama yang menimpa KPU.

Sejak 2014, katanya, KPU beberapa kali menerima serangan siber, mulai dari email spear-phishing komisioner KPU pada 2014, serangan disinformasi terhadap server dan Situng KPU pada 2019, hingga rumor kebocoran data DPT Pemilu 2014 dari website KPU pada 2022.

"Mulai dari Pemilu 2014 pada dasarnya mayoritas dari penduduk Indonesia sudah tidak memiliki lagi integritas data pribadi. Terbukti di 2023 terjadi insiden yang sama, insiden kebocoran data pribadi dari data pemilih" ujar Wahyudi dalam sebuah diskusi bertajuk Mengidentifikasi Ancaman dan Risiko Keamanan Siber dalam Pemilu 2024 di Jakarta, Rabu (20/12).

Lihat Juga : Cerita Persahabatan Panjang Warga RI dengan Kebocoran Data Pribadi

"Sayangnya, tidak ada proses investigasi yang tuntas dari setiap kebocoran data oleh KPU," imbuhnya.

Dalam acara yang sama, Founder Ethical Hacker Indonesia Teguh Aprianto menyebut rentetan insiden keamanan siber ini menunjukkan adanya masalah pada aspek pengelolaan data di pemerintahan.

"Rentetan peristiwa ini artinya ada masalah di sana kalau kita lihat aspek data government," cetusnya.

Teguh juga menyoroti investigasi yang dilakukan oleh pemerintah ketika ada insiden kebocoran data. Menurutnya, sumber kebocoran data harusnya bisa ditelusuri lewat log access yang memuat riwayat akses data dan user yang mengakses.

"Log access itu lebih lama lebih bagus, karena ketika ada insiden kita bisa mulai [investigasi] dari situ. Mungkin belum ada kebijakan itu," katanya.

ELSAM pun memberikan sejumlah saran untuk KPU untuk mengantisipasi risiko dan ancaman keamanan siber dalam penyelenggaraan Pemilu 2024. Berikut saran yang diberikan ELSAM untuk KPU:

- Melakukan asesmen dan audit keamanan terhadap seluruh sistem informasi yang dikembangkan dan dikelola oleh KPU, setidaknya mengacu pada information technology and security assessment (ITSA) yang disiapkan oleh BSSN, dengan merujuk pada standar Perpres No. 95/2018 dan Per-BSSN No. 4/2021.

- Penyusunan kebijakan perlindungan data pribadi (privacy policy), yang menjelaskan keseluruhan proses pelindungan data pribadi, termasuk sistem keamanan yang diterapkan, dengan mengacu pada rangkaian kewajiban pengendali data yang diatur oleh UU PDP, termasuk langkah dan prosedur ketika terjadi pelanggaran.

- Penyusunan pedoman perilaku (code of conduct) perlindungan data pribadi dalam penyelenggaraan pemilu, yang menjadi acuan bagi seluruh penyelenggara pemilu.

- Penunjukan petugas/pejabat pelindungan data pribadi, untuk memastikan pemenuhan hak subjek data, termasuk juga penguatan Computer Security Incident Response Team (CSIRT), untuk memberikan respons cepat setiap kali terjadi insiden keamanan (siber)

- Penerapan privacy by design dan privacy by default untuk seluruh sistem informasi elektronik yang dikembangkan, sebagai langkah pencegahan atas terjadinya insiden keamanan.

- Melakukan penilaian dampak perlindungan data pribadi dari seluruh tahapan Pemilu, termasuk terhadap seluruh sistem informasi yang dikembangkan oleh KPU.

Lihat Juga : 250 Juta Data Diklaim Bocor di Hari Pertama Kampanye, KPU Telusuri

- Penyusunan regulasi terkait dengan data akses dan data sharing untuk data-data Pemilu dengan pemangku kepentingan, khususnya data yang mengandung konten data pribadi.

- Peningkatan kapasitas bagi seluruh penyelenggara pemilu terkait dengan risiko dan antisipasi keamanan siber dari sistem informasi yang dikelola dan digunakan KPU, termasuk yang terkait dengan pelindungan data pribadi.

- Koordinasi dan dengan berbagai pemangku kepentingan terkait, untuk mengoptimalkan langkah-langkah antisipasi dan mitigasi risiko dan insiden keamanan yang mungkin terjadi, dengan tetap menjunjung tinggi prinsip dasar penyelenggaraan Pemilu, langsung, umum, bebas, rahasia, jujur, dan adil.

(lom/arh)